국내 금융권 노린 피싱메일 배후 ‘TA505그룹’ 실체 밝혀졌다

금융보안원, TA505 위협그룹 프로파일링 보고서 발간

[보안뉴스 원병철 기자] 2019년 상반기 피싱메일로 국내 금융권을 공격했던 공격 그룹 ‘TA505그룹’에 대한 분석 보고서가 나왔다. 금융보안원(원장 김영기)은 2019년 상반기에 국내 금융권 피싱 공격 배후로 TA505그룹을 지목하고, 약 60만 건에 달하는 TA505그룹의 국내 금융권 공격 피싱 메일을 추적·분석해, TA505그룹의 공격전략, 공격기술, 공격절차 및 최근 동향 등을 수록한 ‘TA505 위협그룹 프로파일링’ 보고서를 발간했다고 밝혔다.

▲TA505그룹 2019년 주요 사이버 공격 타임라인[자료=금융보안원]

TA505(Threat Actor 505)그룹은 2014년부터 기업 정보탈취 및 금전적 대가를 목적으로 랜섬웨어와 원격 제어 악성코드를 이용해 주로 금융권 및 에너지 관련 업종을 공격하는 러시아 추정 공격 그룹이다.

금융보안원은 2018년 하반기에 TA505그룹이 국내 기업을 대상으로 사이버 공격을 시작한 것을 확인하고 주목하기 시작했으며, 2019년 상반기부터 국내 금융권을 대상으로 대규모 사이버 공격을 지속적으로 감행한 것을 확인했다. 이에 금융보안원은 공격 배후로 TA505그룹을 확인하고, 피해 확산을 최소화하는 것은 물론 선제적으로 대응할 수 있도록 ‘TA505 위협그룹 프로파일링’ 보고서 발간을 추진하게 됐다.

보고서에 따르면, TA505그룹의 공격은 △대규모 피해가 발생할 수 있는 기업 또는 단체를 공격 대상으로, 스피어 피싱메일을 통해 악성코드를 유포했다. 또한 △AD(Active Directory) 서버 해킹, 계정 탈취 및 파일 암호화 등을 수행할 수 있도록 공격단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드 사용했으며, △스피어 피싱메일은 공격대상 기관의 근무에 맞추어 일주일 중 목요일(26.1%)과 수요일(24%), 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 집중적으로 발송했다.

아울러 △유명 포털 사이트인 네이버, 구글, Microsoft 등을 사칭하는 피싱 페이지를 운영하며 계정정보 탈취 등 추가적인 공격 시도하고 △2019년 12월부터 또 다시 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱메일을 발송, 파일을 암호화하는 새로운 랜섬웨어를 유포한 정황도 발견됐다.

금융보안원 김영기 원장은 “전형적인 사이버공격 수단인 악성 메일을 이용한 피싱 공격이 점점 지능화·고도화되어 가는 상황에서 국내 금융권 피싱 공격 배후인 TA505그룹을 추적·분석한 결과를 금융권과 공유함으로써 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생 가능한 피해에 선제적으로 대응할 수 있을 것”이라면서, “사이버공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없는 만큼, 금융보안원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것”이라고 밝혔다.

한편, 금융보안원은 TA505 위협 그룹 프로파일링 보고서를 토대로 국내 금융권대상 피싱 공격, 랜섬웨어 등 신종 사이버 공격에 대한 대응 요령을 금융권과 지속적으로 공유할 예정이다. 점차 고도화·지능화되는 사이버 위협에 금융권이 신속하게 대응할 수 있도록 전문적이고 특화된 최신 사이버 위협 및 공격에 대한 인텔리전스 보고서를 매년 정기적으로 발간할 계획이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)